"Microsoft Details Cookie-Controlled PHP Web Shells Persisting via Cron on Linux Servers" by Ravie LakshmananApr 03, 2026
Japan, from Mesh2Net | Topics: Science, Art, and Politics | By RainbowLink Inc. (株式会社レインボーリンク)
"
Microsoft Details Cookie-Controlled PHP Web Shells Persisting via Cron on Linux Servers"
by Ravie LakshmananApr 03, 2026
https://thehackernews.com/2026/04/microsoft-details-cookie-controlled-php.html(自動翻訳)
『Microsoftが、Linuxサーバー上でCronを介して永続化するCookie制御型PHPウェブシェルの詳細を明らかに』
Microsoft Defenderセキュリティ研究チームの調査結果によると、攻撃者はLinuxサーバー上のPHPベースのWebシェルを制御するチャネルとして、またリモートコード実行を実現するために、HTTP Cookieをますます利用するようになっている。
「これらのウェブシェルは、URLパラメータやリクエストボディを通じてコマンド実行を公開するのではなく、攻撃者が提供するクッキーの値を利用して実行を制御し、指示を渡し、悪意のある機能をアクティブ化する」と、このテクノロジー大手は 述べた 。
この手法は、悪意のあるコードが通常のアプリケーション実行中は休眠状態を維持し、特定のクッキー値が存在する場合にのみウェブシェルロジックをアクティブ化できるため、ステルス性が向上します。マイクロソフトによると、この動作はウェブ要求、スケジュールされたタスク、および信頼できるバックグラウンドワーカーにも適用されます。
変数を通じて実行時にクッキーの値が利用可能であることを悪用し この悪意のある行為は、$_COOKIEスーパーグローバル 、攻撃者が提供した入力を追加の解析なしで処理できるようにします。さらに、クッキーは通常のウェブトラフィックに溶け込み、視認性が低いため、この手法は危険信号として認識される可能性が低いでしょう。
